Quanto è banale identificare un utente Tor con JavaScript abilitato / 'consentire gli script a livello globale'?

Naviga le tue risposte
2

Stavo navigando usando Tor, con Javascript abilitato / 'permetti gli script a livello globale'. Ho effettuato una richiesta di ritiro automatico per qualcosa pubblicato su un sito Web e il giorno successivo è tornato per verificare se l'elemento fosse ancora lì. Era, e irritato, ho fatto di nuovo la richiesta, e ho ottenuto una risposta automatica di tipo "hai già fatto questa richiesta" sul sito web. Il che è strano perché stavo usando un circuito Tor diverso dal giorno precedente. Quindi cosa sta succedendo? È:

  1. Il sito web ha appena riconosciuto che "qualcuno" ha già effettuato la richiesta?
  2. Il sito web che riconosce entrambe le richieste erano utenti TOR?
  3. Il sito Web in qualche modo mi identifica come me nonostante TOR (presumibilmente da qualche exploit JS)

Se è il n. 3, allora deve essere piuttosto facile identificare gli utenti TOR che hanno abilitato JS, no? Perché era solo un sito casuale, non uno abitato da hacker o fantasmi black hat. bene, presumo non lol.

    
posta potat0 31.05.2016 - 01:33
fonte

3 risposte

1

Ci sono diversi modi per tenere traccia dei visitatori tra le sessioni che non sono in alcun modo ostacolate da TOR:

  • Cookie HTTP (sì, anche i domini di .ionion possono usare cookie come qualsiasi altro dominio)
  • Archiviazione persistente con JavaScript in Localstorage o IndexDB
  • Archiviazione persistente in plug-in come Flash
  • Fingerprinting del browser, ovvero una combinazione di versione del browser, plug-in installati, risoluzione dello schermo, font installati e quali altre informazioni è possibile ottenere. Ognuno di questi da solo potrebbe non essere sufficiente per identificare qualcuno in modo univoco, ma può essere quando si guarda la combinazione di tutti contemporaneamente.

Se vuoi evitare di essere rintracciato, potresti utilizzare il TOR browser fornito da torproject.org. Si tratta di una build di Firefox con tutti i precedenti disattivati per quanto ragionevolmente possibile.

    
risposta data 28.09.2016 - 11:33
fonte
0

A volte per scopi di monitoraggio non persistenti, i siti Web codificano una stringa che viene propagata su ogni pagina del sito navigabile. Se si dispone di una voce della cronologia del browser di tale pagina, facendo clic su di essa si aggiorna la cronologia sul lato server. Questo presuppone che tu non usi alcuna impostazione della cronologia sul tuo client.

    
risposta data 31.05.2016 - 09:19
fonte
0

Un altro metodo in aggiunta ad altre risposte: ETag può essere utilizzato anche in browser compatibili e non richiede l'installazione di alcun plug-in, né farà apparire all'utente alcuna domanda. TOR Browser è la strada da percorrere.

    
risposta data 28.10.2016 - 15:02
fonte

Leggi altre domande sui tag

La modifica della tabella di routing sul mio hub vanifica lo scopo di una VPN? L'applicazione degli aggiornamenti risolve le vulnerabilità del router?